Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
NIS2 / ZoKB7 min24. května 2026

Vendor risk checklist: co chtít od klíčových dodavatelů

V únoru 2020 byl napaden dodavatel IT služeb pro americká potrubní centra.

Autor: Splnit.eu, Redakce Splnit.eu

V článku

Kdo je „bezpečnostně významný dodavatel"?Co zjistit před podpisem smlouvy — tiered přístupGDPR rozměr: DPA je povinná, ne volitelnáVendor risk registr: jak to dokumentovatBezpečnostní požadavky ve smlouvěCo dělat, když dodavatel nesplňuje požadavkyJak provádět pravidelné přezkumyTL;DR

Kdo je „bezpečnostně významný dodavatel"?

Ne každý dodavatel potřebuje bezpečnostní prověření. Zaměřte se na ty, kteří splňují alespoň jedno z následujících:

**Kategorie A — Kritičtí dodavatelé (nejvyšší priorita)**

*Příklady: AWS/Azure/GCP, hosting provider, záložní MSP, poskytel SIEM/SOC, subdodavatel vývoje s přístupem do produkce*

**Kategorie B — Důležití dodavatelé (střední priorita)**

*Příklady: CRM systém, HR platforma, e-mailový provider, VPN provider, nástroje pro videokonference*

**Kategorie C — Standardní dodavatelé (základní prověření)**

*Příklady: tiskárny, kancelářské potřeby, kurýrní služby*

**Pravidlo palce:** Pokud kompromitace nebo výpadek tohoto dodavatele může způsobit bezpečnostní incident na vaší straně nebo u vašich zákazníků — jde o Kategorii A nebo B.

  • Mají přímý přístup k vašim produkčním systémům, síti nebo zákaznickým datům
  • Poskytují klíčovou část vaší regulované služby (jejich výpadek = výpadek vaší služby)
  • Zpracovávají osobní data vašich zákazníků nebo zaměstnanců
  • Jsou cloud provider nebo MSP, na němž vaše infrastruktura stojí
  • Mají přístup k interním systémům nebo datům, ale ne přímo k produkci nebo zákaznickým datům
  • Poskytují software, který je součástí vašeho produktového stacku
  • Zpracovávají interní data firmy (HR, účetnictví, komunikace)
  • Nemají přístup k citlivým systémům ani datům
  • Poskytují komoditní produkty nebo služby

Co zjistit před podpisem smlouvy — tiered přístup

Pro Kategorii A (kritičtí dodavatelé)

**Bezpečnostní certifikace a audity**

**Správa přístupů k vašim systémům**

**Incident response a notifikace**

**Kontinuita a dostupnost**

**Sub-zpracovatelé a třetí strany**

  • [ ] Má dodavatel platnou certifikaci ISO/IEC 27001 nebo SOC 2 Type II? Vyžádejte si certifikát a ověřte jeho platnost a scope.
  • [ ] Pokud nemá certifikaci: Provádí pravidelné interní nebo externí bezpečnostní audity? Kdy byl poslední, co zjistil a jak byly nalezy řešeny?
  • [ ] Provádí dodavatel penetrační testy svých systémů? (minimálně ročně). Jste schopni vidět executive summary výsledků?
  • [ ] Jak jsou spravovány přístupy zaměstnanců dodavatele k vašim systémům nebo datům?
  • [ ] Je povinné MFA pro přístupy k vašim prostředím?
  • [ ] Jak rychle jsou odebrány přístupy při odchodu zaměstnance dodavatele?
  • [ ] Jsou přístupy dodavatele omezeny na minimální nezbytné oprávnění?
  • [ ] Jsou přístupy dodavatele logovány a auditovány?
  • [ ] Jaká je smluvní lhůta dodavatele pro nahlášení bezpečnostního incidentu, který se týká vašich dat nebo systémů? (Požadujte maximálně 24–48 hodin)
  • [ ] Má dodavatel zdokumentovaný incident response plán?
  • [ ] Na koho konkrétně se obrátit při incidentu? (jméno, telefon, e-mail, ne jen obecná adresa)
  • [ ] Jaké jsou garantované SLA pro dostupnost služby? (uptime, RTO, RPO)
  • [ ] Kde jsou zálohy uloženy a jak jsou chráněny?
  • [ ] Existuje plán kontinuity činností (BCP)? Byl testován?
  • [ ] Má dodavatel pojištění pro případ kybernetického incidentu?
  • [ ] Kteří sub-dodavatelé mají přístup k vašim datům nebo systémům?
  • [ ] Vztahují se na sub-dodavatele stejné bezpečnostní požadavky jako na dodavatele?
  • [ ] Informuje vás dodavatel o změnách v sub-dodavatelském řetězci?

Pro Kategorii B (důležití dodavatelé)

Zkrácená verze s klíčovými body:

  • [ ] ISO 27001 nebo SOC 2 certifikace, nebo bezpečnostní politika/přehled bezpečnostních opatření
  • [ ] DPA (smlouva o zpracování osobních údajů), pokud zpracovává osobní data
  • [ ] Lhůta pro notifikaci incidentu smluvně ukotvena
  • [ ] Přehled sub-zpracovatelů (pro GDPR účely)
  • [ ] Kontakt pro bezpečnostní záležitosti

Pro Kategorii C (standardní dodavatelé)

  • [ ] Pokud zpracovává jakákoliv osobní data: DPA

GDPR rozměr: DPA je povinná, ne volitelná

Každý dodavatel, který zpracovává osobní data vaším jménem, je ze zákona váš **zpracovatel** (data processor). Článek 28 GDPR vyžaduje, aby byl vztah smluvně ošetřen formou **Smlouvy o zpracování osobních údajů (DPA)**.

**Co musí DPA obsahovat (Čl. 28 GDPR):**

**Mezinárodní přenosy:** Pokud má dodavatel servery mimo EU/EEA (zejména USA, Indie, Asie), potřebujete navíc právní základ pro přenos dat — standardně standardní smluvní doložky (SCC). U velkých amerických cloudových providerů (AWS, Google, Microsoft) jsou SCC součástí jejich DPA — ale ověřte, že jsou podepsány.

  • Předmět, povahu, účel a dobu zpracování
  • Typy osobních dat a kategorie subjektů
  • Povinnosti zpracovatele (mlčenlivost, bezpečnost, pomoc správci)
  • Pravidla pro zapojení sub-zpracovatelů
  • Postup při ukončení zpracování (mazání nebo vrácení dat)
  • Právo správce na audit zpracovatele

Vendor risk registr: jak to dokumentovat

Nestačí si odpovědi uložit do e-mailu nebo je mít jen v hlavě. Veďte **vendor risk registr** — strukturovanou evidenci bezpečnostního stavu vašich dodavatelů.

Minimální obsah registru (tabulka)

**Certifikáty, DPA a další dokumenty** ukládejte jako přílohy nebo do sdíleného úložiště s odkazem v registru.

  • Pole: Název dodavatele | Popis: Oficiální název firmy
  • Pole: Kategorie | Popis: A / B / C
  • Pole: Popis poskytované služby | Popis: Co přesně dodává a k čemu má přístup
  • Pole: Kontakt pro bezpečnostní záležitosti | Popis: Jméno, e-mail, telefon
  • Pole: Zpracovává osobní data? | Popis: Ano / Ne
  • Pole: DPA uzavřena? | Popis: Ano / Ne / Datum
  • Pole: Certifikace | Popis: ISO 27001 / SOC 2 / Žádná / Datum platnosti
  • Pole: Poslední bezpečnostní hodnocení | Popis: Datum
  • Pole: Výsledek hodnocení | Popis: Bez nálezu / Nalezy vyřešeny / Otevřené nalezy
  • Pole: Datum příštího přezkumu | Popis: Datum
  • Pole: Umístění dat | Popis: EU / Mimo EU / Cloud + region
  • Pole: Poznámky / rizika | Popis: Volný text

Bezpečnostní požadavky ve smlouvě

Nestačí dodavatele prověřit — bezpečnostní požadavky musejí být součástí smlouvy nebo jejího dodatku. Bez smluvního ukotvení nemáte právní páku, pokud dodavatel selže.

**Minimální smluvní klauzule pro Kategorii A:**

``` Dodavatel se zavazuje:

bezpečnostní audit; kopii certifikátu nebo výsledky auditu poskytne Zákazníkovi na vyžádání do 10 pracovních dnů.

který se týká systémů, dat nebo přístupů Zákazníka, a to do 24 hodin od zjištění incidentu, a to e-mailem na adresu [security@vasefirma.cz].

s přístupem k datům nebo systémům Zákazníka a informovat o jakékoli změně v tomto řetězci s předstihem minimálně 30 dnů.

bezpečnostní audit Dodavatele, s oznámením minimálně 14 dní předem, maximálně jednou ročně.

Zákazníka do 30 dnů; o provedení zaslat písemné potvrzení. ```

  • 1. Udržovat certifikaci ISO/IEC 27001 nebo provádět každoroční
  • 2. Informovat Zákazníka o jakémkoli bezpečnostním incidentu,
  • 3. Na vyžádání poskytnout Zákazníkovi přehled sub-dodavatelů
  • 4. Umožnit Zákazníkovi nebo jím pověřené třetí straně provést
  • 5. Po ukončení smlouvy smazat nebo vrátit veškerá data

Co dělat, když dodavatel nesplňuje požadavky

Tři realistické možnosti:

Možnost 1: Akceptovat riziko s kompenzujícím opatřením

Vhodné pro: menší dodavatel v Kategorii B, kde není certifikace reálně dosažitelná.

Postup:

  • 1. Zdokumentujte, jaké bezpečnostní opatření na vaší straně riziko snižuje (šifrování dat před předáním, omezení přístupu, monitoring)
  • 2. Schvalte akceptaci rizika vedením firmy (podpis)
  • 3. Nastavte datum přezkumu (nejpozději za 12 měsíců)

Možnost 2: Vyžádat si plán nápravy

Vhodné pro: dodavatel je ochoten situaci řešit, ale potřebuje čas.

Postup:

  • 1. Definujte konkrétní požadavky a termín splnění
  • 2. Uzavřete písemný závazek dodavatele (e-mail nebo dodatek ke smlouvě)
  • 3. Nastavte kontrolní bod pro ověření splnění

Možnost 3: Nahradit dodavatele

Vhodné pro: dodavatel není ochoten bezpečnostní požadavky plnit, nebo riziko je příliš vysoké.

Toto je legitimní a v krajním případě nutný krok. Dokumentujte důvody rozhodnutí — v případě budoucí kontroly nebo incidentu dokazuje, že jste due diligence provedli a na riziko reagovali.

Jak provádět pravidelné přezkumy

Vendor risk není jednorázová akce. Nastavte si:

**Roční přezkum všech Kategorie A dodavatelů:**

**Přezkum při každé změně:**

**Přezkum při onboardingu nového dodavatele:**

  • Ověřte platnost certifikací (certifikát mohl expirovat)
  • Zkontrolujte, zda se změnil scope jejich služby nebo sub-dodavatelé
  • Projděte jakékoli incidenty, které u dodavatele nastaly za poslední rok
  • Dodavatel hlásí bezpečnostní incident
  • Dodavatel mění sub-dodavatele s přístupem k vašim datům
  • Měníte rozsah nebo povahu spolupráce s dodavatelem
  • Dodavatel mění lokaci uložení dat (zejména přesun mimo EU)
  • Proveďte hodnocení ještě před podpisem smlouvy — ne po něm

TL;DR

  • Kategorizujte dodavatele: Kritičtí (A) → Důležití (B) → Standardní (C). Hloubku prověřování přizpůsobte kategorii.
  • Pro Kategorii A: certifikace nebo audit, správa přístupů, notifikační lhůta do 24–48 hod, plán kontinuity, přehled sub-dodavatelů.
  • DPA je zákonná povinnost pro každého dodavatele, který zpracovává osobní data — bez výjimky.
  • Bezpečnostní požadavky patří do smlouvy — ne jen do interních dokumentů.
  • Veďte vendor risk registr a přezkumejte ho minimálně ročně a při každé změně.
  • Pokud dodavatel nesplňuje požadavky: akceptujte s kompenzací, vyžádejte nápravu, nebo ho nahraďte. Vždy dokumentujte rozhodnutí.

Související přehled předpisu

Otevřít přehled: NIS2 / ZoKB →

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||